Swordsman
31-03-2010, 11:32
Добрый день, уважаемые знатоки! Очень расчитываю на Вашу помощь.
Имею следующую ситуацию: есть домен, в нём два доменных контроллера на w2k SP4 RC4.27 (да-да, такой изврат). Стоит задача апргейдить схему AD до 31-й версии и ввести новые DC на w2k3 RC2 с последующим удалением старых DC и переводом домена в нативный режим. Перед проведением adprep /forestprep хотел обеспечить возможность отката в случае неудачного обновления схемы путём принудительного восстановления AD (через DSRM). Для этого нужна возможность войти в DC под администратором восстановления службы каталогов.
Поскольку сервера ставились в незапамятные времена и с тех пор сменилось штук пять админов, админский пароль мне пришлось сбрасывать, в чём руководствовался статьёй Майкрософт: http://support.microsoft.com/kb/239803/ru. Но этим дело не ограничилось. Когда я ради окончательной проверки попытался загрузить контроллеры в режиме DSRM и войти под администратором, в ответ оба контроллера мне выдали: "Интерактивный вход в систему на данном компьютере запрещён локальной политикой" (sic!).
Есть осложняющие обстоятельства, которые, как мне думается, могли служить причиной подобного глюка. Во-первых, судя по всему, изначально домен был поднят на англоязычной винде, а нынешние два DC - русскоязычные. Возможно, проблема из-за разницы в названиях локальных администраторов и групп безопасности, спущенных с домена. Во-вторых, на одном из DC когда-то был поднят сервер терминалов и установлен Citrix Metaframe 1.8. Раньше этот сервер использовался в качестве терминального, но теперь все активные задачи перенесены с него на новые сервера. Однако разрешения, заданные в доменной политике безопасности для контроллеров, всё равно распространились на оба DC.
Имею следующую ситуацию: есть домен, в нём два доменных контроллера на w2k SP4 RC4.27 (да-да, такой изврат). Стоит задача апргейдить схему AD до 31-й версии и ввести новые DC на w2k3 RC2 с последующим удалением старых DC и переводом домена в нативный режим. Перед проведением adprep /forestprep хотел обеспечить возможность отката в случае неудачного обновления схемы путём принудительного восстановления AD (через DSRM). Для этого нужна возможность войти в DC под администратором восстановления службы каталогов.
Поскольку сервера ставились в незапамятные времена и с тех пор сменилось штук пять админов, админский пароль мне пришлось сбрасывать, в чём руководствовался статьёй Майкрософт: http://support.microsoft.com/kb/239803/ru. Но этим дело не ограничилось. Когда я ради окончательной проверки попытался загрузить контроллеры в режиме DSRM и войти под администратором, в ответ оба контроллера мне выдали: "Интерактивный вход в систему на данном компьютере запрещён локальной политикой" (sic!).
Есть осложняющие обстоятельства, которые, как мне думается, могли служить причиной подобного глюка. Во-первых, судя по всему, изначально домен был поднят на англоязычной винде, а нынешние два DC - русскоязычные. Возможно, проблема из-за разницы в названиях локальных администраторов и групп безопасности, спущенных с домена. Во-вторых, на одном из DC когда-то был поднят сервер терминалов и установлен Citrix Metaframe 1.8. Раньше этот сервер использовался в качестве терминального, но теперь все активные задачи перенесены с него на новые сервера. Однако разрешения, заданные в доменной политике безопасности для контроллеров, всё равно распространились на оба DC.